@ChiChou wrote:
iOS 7 之后的 Safari 提供了远程调试设备上网页的功能。在设备和 mac 端的 Safari 上均开启开发者功能之后,可以用 USB 连接手机,然后在 Develop 菜单中选择对应的页面打开 WebInspector:
先说明另一种屡试不爽的办法,砸壳 -> MonkeyDev 重打包。
然后我们来看越狱设备下如何全局地开启。
App 是否支持 WebInspector 是通过 entitlement 控制的。已知将
com.apple.security.get-task-allow设置为true之后会允许调试 WebView。Xcode 编译出来的调试版本 App 都会带上这个 entitlement,这也是 lldb 真机调试必须的配置。MobileSafari 肯定不允许 lldb 调试,不过可以看到(iOS 11.1.2)它注册了一个这样 entitlement:
在 iOS 设备上启用了 WebInspector 之后会出现一个
webinspectord的守护进程。关于远程调试实现的一些技术细节可以参考 Webkit远程调试协议实战。几年前就有的文章,在此膜拜一下。上面提到的文章同样也没有解决 entitlement 的条件,还是需要自己逆向一下。这个进程的代码只有一点点:
其实是放在链接库里了。
把 dyld_shared_cache 拖回来分析。
com.apple.private.webinspector.allow-remote-inspectioncom.apple.security.get-task-allow很快定位到字符串表:
通过交叉引用来到如下函数:
bool __cdecl -[RWIRelayDelegateIOS _allowApplication:bundleIdentifier:](id a1, SEL a2, struct {unsigned int var0[8];} *a3, id a4) { __int128 *v4; // x21 id v5; // x20 __int64 v6; // x19 char v7; // w20 __int128 v9; // [xsp+0h] [xbp-80h] __int128 v10; // [xsp+10h] [xbp-70h] __int128 v11; // [xsp+20h] [xbp-60h] __int128 v12; // [xsp+30h] [xbp-50h] __int128 v13; // [xsp+40h] [xbp-40h] __int128 v14; // [xsp+50h] [xbp-30h] v4 = (__int128 *)a3; v5 = a1; v6 = MEMORY[0x18F5A5488](a4, a2); if ( qword_1B0981AD0 != -1 ) dispatch_once(&qword_1B0981AD0, &unk_1AC56C870); if ( byte_1B0981AC8 ) goto LABEL_14; v14 = v4[1]; v13 = *v4; if ( MEMORY[0x18F5A547C](v5, selRef__hasRemoteInspectorEntitlement_[0], &v13) & 1 ) // 开启了 allow-remote-inspection goto LABEL_14; if ( qword_1B0981AE0 != -1 ) dispatch_once(&qword_1B0981AE0, &unk_1AC56C8B0); if ( byte_1B0981AD8 && (v12 = v4[1], v11 = *v4, MEMORY[0x18F5A547C](v5, selRef__hasCarrierRemoteInspectorEntitlement_[0], &v11) & 1) ) { // 特定条件下检查的是 com.apple.private.webinspector.allow-carrier-remote-inspection LABEL_14: v7 = 1; } else { v10 = v4[1]; v9 = *v4; v7 = MEMORY[0x18F5A547C](v5, selRef__usedDevelopmentProvisioningProfile_[0], &v9); // 开发版本 App 同样放行 } MEMORY[0x18F5A5484](v6); return v7; }这正是检查是否允许调试的关键函数。
使用 frida hook 框架简单验证一下:
➜ passionfruit git:(master) ✗ frida -U webinspectord ____ / _ | Frida 10.6.61 - A world-class dynamic instrumentation toolkit | (_| | > _ | Commands: /_/ |_| help -> Displays the help system . . . . object? -> Display information about 'object' . . . . exit/quit -> Exit . . . . . . . . More info at http://www.frida.re/docs/home/ [iPad 4::webinspectord]-> Interceptor.attach(ObjC.classes.RWIRelayDelegateIOS['- _allowApplication:bundleIdentifier:'].implementation, { onEnter: function(args) { this.bundleId = new ObjC.Object(args[3]); }, onLeave: function(retVal) { const allow = !retVal.equals(NULL) console.log(this.bundleId + (allow ? ' allows' : ' does not allow') + ' WebInspect') if (!allow) { console.log('now patch it'); retVal.replace(ptr(1)); } } }); {} [iPad 4::webinspectord]-> com.tencent.mipadqq does not allow WebInspect now patch it com.mx.MxBrowser-iPhone does not allow WebInspect now patch it com.apple.WebKit.WebContent allows WebInspect com.mx.MxBrowser-iPhone does not allow WebInspect now patch it com.apple.WebKit.WebContent allows WebInspect com.mx.MxBrowser-iPhone does not allow WebInspect now patch it每次启动新应用的时候都会调用这个函数做一次判断,将其返回值 patch 为 TRUE,第三方浏览器出现在了 Safari 的调试列表中:
另外 macOS 上的 WebInspector 也有类似函数
__int64 __fastcall -[RWIRelayDelegateMac _allowApplication:bundleIdentifier:],检查的 entitlement 键名略有不同。用 THEOS 写成 Tweak,简单粗暴:
{ Filter = { Bundles = ( "com.apple.webinspectord" ); }; }Tweak.xm
%hook RWIRelayDelegateIOS - (BOOL)_allowApplication:(void *)ignored bundleIdentifier:(NSString *)bundleId { %log; NSLog(@"Force WebInspect enable for %@", bundleId); return TRUE; } %end更新
本文在 11.1.2 和 10.3.3 上测试通过。
有同学反馈 10.0.2 没有 RWIRelayDelegateIOS 类,我验证了一下 10.0.3 的 IPSW 固件,函数是一样的。只不过直接编译到 webinspectord 而不是链接 WebInspector.framework。拆分链接库应该是 iOS 11 开始的。
在 iOS 9.3.3 上类名不一样,应该对 WebInspectorRelayDelegateIOS 的 - _allowApplication:bundleIdentifier: 进行 hook。其他 iOS 版本的兼容性还有待进一步分析。
P.S.
顺便求问一下这样需要判断兼容性来 hook 不同类名的 Tweak 应该怎么写呢?
Posts: 4
Participants: 2